贾大师 发表于 2017-9-7 09:55:06

深信服防火墙组网部署分享

深信服防火墙组网部署分享

一、环境与需求:客户出口原友商防火墙过老,防护能力不足,不可视化。现需改造新增运营商线路,加设专线接入,并且后续会不断增加,同时需要与香港分支做对接。希望能实现新改造需求的同时加强互联网出口安全防护,控制好可能发生的各种安全风险,定期提供相关安全评估报表实现可视化,采用深信服下一代防火墙进行全面安全加固。网络拓扑:http://p3.pstatp.com/large/37f30004e0c4d2ba0d16二、实施情况网口设置情况:http://p3.pstatp.com/large/37f30004e0c55724a312设备对接线路走新增运营商线路http://p3.pstatp.com/large/39a00004d9b08fc9bad4设置静态路由和策略路由,主要使用原有线路上公网http://p3.pstatp.com/large/39a100033a2d12957bee设置源地址转换代理上网http://p1.pstatp.com/large/39a00004d9b1b76c038c做目的地址转换,实现内网服务器映射到公网并提供相应服务http://p9.pstatp.com/large/39a200031f4f539cb463应用控制策略放通相关服务http://p1.pstatp.com/large/39a100033a2b3d7e6450作为总部,香港分支接入http://p9.pstatp.com/large/37f30004e0c769f0bf7ahttp://p9.pstatp.com/large/37ec0004e89369c07d72分支需要访问总部多个网段需要访问http://p3.pstatp.com/large/37ec0004e892531eebbf分支(配置略)在连接管理接入即可http://p9.pstatp.com/large/37f20004ed4b91dbf095地域访问限制http://p3.pstatp.com/large/37f20004ed4c6a5341b0僵尸网络基本防护http://p1.pstatp.com/large/37ed0004e1eae850ea6fIPS保护服务器配置http://p1.pstatp.com/large/39a200031f53136a95ac三、实施总结基本配置思路清晰,实施过程比较通畅。不足之处,配置上架后测试有一个专线数据不通,经检查发现静态路由漏写。细节之处不容马虎,尤其是在添加类似条目多的情况。四、设备使用情况目前已正常运行十四天的基本状态http://p1.pstatp.com/large/37ec0004e8951bbd98caIPS防护日志http://p1.pstatp.com/large/39a00004d9ff6a29319a
综合安全报表(部分选取)http://p3.pstatp.com/large/39a00004d9b89e647bfa五、客户评价与建议总体使用比较满意,防护能力相比以往提高了很多,尤其是设备的报表功能,直观地展示了当前网络安全状态,并快速有效的给出了相关处理建议措施,而且设备具备11个网口方便后续不断增加专线接入。希望在今后在网络安全方面加强合作。


页: [1]
查看完整版本: 深信服防火墙组网部署分享